WEB开发网
开发学院网络安全防火墙 深入剖析防火墙策略的执行过程:ISA2006系列之六 阅读

深入剖析防火墙策略的执行过程:ISA2006系列之六

 2010-09-30 12:16:01 来源:WEB开发网   
核心提示: 三 防火墙策略防火墙策略用来控制源网络和目标网络的通讯,是ISA管理员控制网络访问的常规武器,深入剖析防火墙策略的执行过程:ISA2006系列之六(4),也是本文讨论的重点所在,防火墙策略的优先级就是按照规则排列的顺序,访问请求匹配第一条防火墙策略,用户就被防火墙放行了,而不是按照拒绝优先原则,

深入剖析防火墙策略的执行过程:ISA2006系列之六

三 防火墙策略

防火墙策略用来控制源网络和目标网络的通讯,是ISA管理员控制网络访问的常规武器,也是本文讨论的重点所在。防火墙策略的优先级就是按照规则排列的顺序,而不是按照拒绝优先原则。由于系统策略优先级也是按照序号排列,和防火墙策略优先级完全一样,我们甚至可以把防火墙策略看成是从31开始编号的系统策略。

数据包通过网络规则的检查后,就要面临系统策略和防火墙策略的考验了。ISA将从第一条策略开始检查,检查数据包的访问请求是否匹配策略,如果匹配,就按照策略的规定执行,结果无非是禁止或允许。如果不匹配,ISA就将按顺序检查下一条策略,从第一条系统策略一直检查到最后一条防火墙策略。那有人要问了,如果把所有策略都检查完了还不匹配怎么办?呵呵,这是不可能的,ISA自带的最后一条防火墙策略内容是禁止所有网络间的一切通讯,如下图所示,这条防火墙策略可以与所有的网络访问相匹配,因此ISA实际上使用了隐式拒绝,也就是说如果某个访问请求如果没有被策略显式允许,那肯定会被最后一条防火墙策略所拒绝。

深入剖析防火墙策略的执行过程:ISA2006系列之六

看了上面的介绍,我们要注意两点,一是策略顺序,二是策略匹配。

A 策略顺序

防火墙策略的排列顺序决定了优先级,排在前面的策略优先执行,根据这个原则,我们要好好设计一下防火墙策略的顺序。例如,我们写了两条防火墙策略,一条是允许内网用户任意访问,另外一条是拒绝内网用户访问联众游戏网站。如果排列顺序如下图所示,允许策略排在拒绝策略之前,那就是个错误的决定。拒绝访问联众的策略永远不会被执行,因为当用户访问联众时,访问请求匹配第一条防火墙策略,用户就被防火墙放行了,第二条策略根本没有执行的机会。正确的做法是将拒绝策略放到允许策略之前!

上一页  1 2 3 4 5 6 7  下一页

Tags:深入 剖析 防火墙

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接